Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Jean Théry 

Le 07.12.2017 à 00:15, Johan Fleury a écrit :
> Le mercredi 06 décembre 2017 à 22:27 +0100, Arnaud Launay a écrit :
>> (Evidemment, la solution c'est "pas de SSL", mais sur du smtp
>> authentifié, c'est quand même très très moche) (sur l'imap aussi,
>> mais ça permet moins facilement d'envoyer du spam qui tache, par
>> contre, en terme de divulgation d'infos, ça...)
>>
> On est en 2017, bientôt en 2018, conseiller à quelqu’un de **ne pas** mettre 
> en
> place TLS, c’est criminel.
>
>
il y a un sacré paquet de criminels dans le monde alors =)
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Johan Fleury 
Le mercredi 06 décembre 2017 à 22:27 +0100, Arnaud Launay a écrit :
> (Evidemment, la solution c'est "pas de SSL", mais sur du smtp
> authentifié, c'est quand même très très moche) (sur l'imap aussi,
> mais ça permet moins facilement d'envoyer du spam qui tache, par
> contre, en terme de divulgation d'infos, ça...)
> 

On est en 2017, bientôt en 2018, conseiller à quelqu’un de **ne pas** mettre en
place TLS, c’est criminel.

-- 
Johan Fleury
PGP Key ID : 0x5D404386805E56E6

signature.asc
Description: This is a digitally signed message part
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Arnaud Launay 
Le Wed, Dec 06, 2017 at 10:09:12PM +0100, Raphael Mazelier a écrit:
> > Bref le SNI côté client mail, ça n'a pas l'air gagné pour le moment.
> Bah ouais c'est bien ce que je pensais.
> Du coup l'interet de le faire est globalement limité non ?

Je vois assez bien l'intérêt côté client: configurer tous tes
potes avec "smtp.domain.tld" (avec auth) et "imap.domain.tld", te
permet de changer de FSI plus facilement que si tu utilises
smtp.fsi.tld et imap.fsi.tld, qui t'oblige à passer sur tous tes
postes clients pour la moindre modif...

(Evidemment, la solution c'est "pas de SSL", mais sur du smtp
authentifié, c'est quand même très très moche) (sur l'imap aussi,
mais ça permet moins facilement d'envoyer du spam qui tache, par
contre, en terme de divulgation d'infos, ça...)

Arnaud.


signature.asc
Description: Digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Bruno Pagani 
Le 06/12/2017 à 22:09, Raphael Mazelier a écrit :

> On 06/12/2017 18:54, Arnaud Launay wrote:
>
>> Bref le SNI côté client mail, ça n'a pas l'air gagné pour le moment.
>
> Bah ouais c'est bien ce que je pensais.

Faudrait tester et ajouter cette info sur
https://en.wikipedia.org/wiki/Comparison_of_email_clients par exemple.

> Du coup l'interet de le faire est globalement limité non ?

Comme je disais plus tôt, dans mon cas 100 % des clients utilisés font
du SNI. Donc pour moi c’était utile, les utilisateurs ont pas un message
« bizarroïde » quand ils configurent leur client et je n’ai pas non plus
à indiquer un nom de serveur qui n’a rien à voir avec leur nom de
domaine pour éviter ça : je fournis mail. comme SMTP/IMAP à
tous, avec leur  à eux.

Maintenant il faut voir le parc de clients en face, et ce qu’il en est
du support de SNI chez ceux-ci. Par exemple, est-ce que Outlook sous
Windows gère ça mieux que sous Mac ? Moi il y a zéro Windows dans mon
parc, donc bon…

Bruno



signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Raphael Mazelier 

On 06/12/2017 18:54, Arnaud Launay wrote:


Bref le SNI côté client mail, ça n'a pas l'air gagné pour le moment.



Bah ouais c'est bien ce que je pensais.
Du coup l'interet de le faire est globalement limité non ?

Cdt,

--
Raphael Mazelier
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Antoine Nivard 
Bonsoir, 

Je pense qu'il faut plutôt regarder HaProxy que j'utilise comme
redirection de flux(dernière un NAT) sur le port 943.

---
Cordialement,

Antoine Nivard. 

Le 06-12-2017 17:59, Julien Escario a écrit :

> Le 06/12/2017 à 17:44, Guillaume Tournat a écrit : 
> 
>> nginx est un serveur http, à la base...
> 
> C'est négliger un peu vite ça quand même :
> http://nginx.org/en/docs/mail/ngx_mail_core_module.html
> OK, ce n'est pas 'coeur' de métier pour Nginx mais l'idée c'est aussi de ne 
> pas
> multiplier les produits (et les compétences).
> 
>> Fortinet a un load balancer (FortiADC) qui fait du SSL offload et supporte 
>> SNI.
>> 
>> Ca existe au format virtuel.
> 
> Une boite noire, très peu pour moi. J'aime autant investir du temps pour
> maîtriser HAProxy.
> 
> Julien
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Arkeia / cherche installers des clients Windows/Linux

2017-12-06 Par sujet Ronan Ducamp 
Salut,

J'essaye de te trouver ça demain ;)

Ronan

Ronan Ducamp

Le 6 déc. 2017 17:03, "Joël DEREFINKO"  a écrit :

> Bonjour à tous,
>
>
>
> Je suis à la recherche des installers des clients Arkeia (Windows/Linux).
>
> Nous venons de découvrir (en même temps que notre revendeur…) que Western
> Digital a mis fin au support Arkeia et il n’est donc plus possible de les
> télécharger depuis leur site…
>
> (WD avait racheté Arkeia en 2013).
>
>
>
> Bref, si à tout hasard quelqu’un a ça sous le coude, pensez à moi…
>
>
>
> Merci !
>
> Joël
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Arnaud Launay 
Le Wed, Dec 06, 2017 at 06:36:22PM +0100, r...@futomaki.net a écrit:
>Vrai question : quels client supportent SNI ?

Pas postfix... Ok, sur le côté serveur. Sur le côté client, ça supporte.

http://www.postfix.org/TLS_README.html
"There are no plans to implement SNI in the Postfix SMTP server."


Tiens, ya une mini liste là:
https://wiki.dovecot.org/SSL/SNIClientSupport

Bref le SNI côté client mail, ça n'a pas l'air gagné pour le moment.

Arnaud.


signature.asc
Description: PGP signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet r...@futomaki.net 
Vrai question : quels client supportent SNI ? Sent from my Mobile Original Message Subject: Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTPFrom: Julien Escario To: French SysAdmin Group CC: Le 06/12/2017 à 18:13, Bruno Pagani a écrit :> Le 06/12/2017 à 17:32, Bruno Pagani a écrit :>> Mes vhosts ce sont des directives serveurs comme ça :>>     server {>>     listen 443 ssl http2 ;>>     listen [::]:443 ssl http2 ;>>     ssl_certificate /path/to/.crt;>>     ssl_certificate_key /path/to/.key;>>  } J’aurais tendance à dire que la même chose avec 993 et pas en HTTP ça>> devrait fonctionner, mais j’ai jamais testé donc bon…> > Et en fait non : la réponse est effectivement que nginx ne supporte pas> le SNI en mail proxy (la directive /listen/ n’accepte pas d’argument> ). En 2013–2014, certains se sont posé la question, et la> réponse de l’époque c’est que ça n’était pas à l’ordre du jour :> https://forum.nginx.org/read.php?2,237967,237967#msg-237967 (plus> lisible ici cela dit: https://www.ruby-forum.com/topic/4412511)OK, clair net et précis : no-go :-( Le petit espoir que la situation aie changéedepuis vient de s'éteindre dans un râle d'agonie.> Je suppose que les choses n’ont pas évolué depuis. Bonne config de HAProxy !C'est parti ;-)Merci,Julien___Liste de diffusion du FRsAGhttp://www.frsag.org/___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Julien Escario 
Le 06/12/2017 à 18:13, Bruno Pagani a écrit :
> Le 06/12/2017 à 17:32, Bruno Pagani a écrit :
>> Mes vhosts ce sont des directives serveurs comme ça :
>>     server {
>>     listen 443 ssl http2 ;
>>     listen [::]:443 ssl http2 ;
>>     ssl_certificate /path/to/.crt;
>>     ssl_certificate_key /path/to/.key;
>>  }
>>
>> J’aurais tendance à dire que la même chose avec 993 et pas en HTTP ça
>> devrait fonctionner, mais j’ai jamais testé donc bon…
> 
> Et en fait non : la réponse est effectivement que nginx ne supporte pas
> le SNI en mail proxy (la directive /listen/ n’accepte pas d’argument
> ). En 2013–2014, certains se sont posé la question, et la
> réponse de l’époque c’est que ça n’était pas à l’ordre du jour :
> https://forum.nginx.org/read.php?2,237967,237967#msg-237967 (plus
> lisible ici cela dit: https://www.ruby-forum.com/topic/4412511)

OK, clair net et précis : no-go :-( Le petit espoir que la situation aie changée
depuis vient de s'éteindre dans un râle d'agonie.

> Je suppose que les choses n’ont pas évolué depuis. Bonne config de HAProxy !

C'est parti ;-)

Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Bruno Pagani 
Le 06/12/2017 à 17:32, Bruno Pagani a écrit :
> Mes vhosts ce sont des directives serveurs comme ça :
>     server {
>     listen 443 ssl http2 ;
>     listen [::]:443 ssl http2 ;
>     ssl_certificate /path/to/.crt;
>     ssl_certificate_key /path/to/.key;
>  }
>
> J’aurais tendance à dire que la même chose avec 993 et pas en HTTP ça
> devrait fonctionner, mais j’ai jamais testé donc bon…

Et en fait non : la réponse est effectivement que nginx ne supporte pas
le SNI en mail proxy (la directive /listen/ n’accepte pas d’argument
). En 2013–2014, certains se sont posé la question, et la
réponse de l’époque c’est que ça n’était pas à l’ordre du jour :
https://forum.nginx.org/read.php?2,237967,237967#msg-237967 (plus
lisible ici cela dit: https://www.ruby-forum.com/topic/4412511)

Je suppose que les choses n’ont pas évolué depuis. Bonne config de HAProxy !

Bruno


signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Julien Escario 
Le 06/12/2017 à 17:44, Guillaume Tournat a écrit :
> nginx est un serveur http, à la base...

C'est négliger un peu vite ça quand même :
http://nginx.org/en/docs/mail/ngx_mail_core_module.html
OK, ce n'est pas 'coeur' de métier pour Nginx mais l'idée c'est aussi de ne pas
multiplier les produits (et les compétences).

> Fortinet a un load balancer (FortiADC) qui fait du SSL offload et supporte 
> SNI.
> 
> Ca existe au format virtuel.

Une boite noire, très peu pour moi. J'aime autant investir du temps pour
maîtriser HAProxy.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Guillaume Tournat 

nginx est un serveur http, à la base...

Fortinet a un load balancer (FortiADC) qui fait du SSL offload et 
supporte SNI.


Ca existe au format virtuel.


my 2 cents


Le 06/12/2017 à 17:04, Julien Escario a écrit :

Bonjour la liste,
Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions
IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.

L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour
imap.domaine1.com, imap.domaine2.com, etc ...
Le tout en présentant un certificat valide pour chaque domaine et ça, s'appelle
SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du protocole.

Je prends les devants : nous ne souhaitons pas avec un gros certificat qui
comprenne tous les vhosts.

SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les
browser modernes le supportent.

Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas vraiment
supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca
gère un conflit :
nginx: [emerg] duplicate "993" address and port pair

Nginx tout frais : nginx version: nginx/1.13.6

Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a
une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module
'custom' qu'on veut bien compiler, tester de debugger.

Sinon, Haproxy semble le faire et on investira le temps nécessaire à
l'apprentissage.

Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
du support en IMAP.

Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

Merci d'avance !
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Bruno Pagani 
Le 06/12/2017 à 17:32, Bruno Pagani a écrit :
> Le 06/12/2017 à 17:04, Julien Escario a écrit :
>> Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
>> clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
>> OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une 
>> idée
>> du support en IMAP.
>>
>> Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

Ah et pour Dovecot, la conf SNI c’est aussi simple que ça:
https://wiki.dovecot.org/SSL/DovecotConfiguration#With_client_TLS_SNI_.28Server_Name_Indication.29_support



signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Bruno Pagani 
Bonjour,

Le 06/12/2017 à 17:04, Julien Escario a écrit :
> Bonjour la liste,
> Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions
> IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.
>
> L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour
> imap.domaine1.com, imap.domaine2.com, etc ...
> Le tout en présentant un certificat valide pour chaque domaine et ça, 
> s'appelle
> SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du 
> protocole.
>
> Je prends les devants : nous ne souhaitons pas avec un gros certificat qui
> comprenne tous les vhosts.
>
> SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les
> browser modernes le supportent.
>
> Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas 
> vraiment
> supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca
> gère un conflit :
> nginx: [emerg] duplicate "993" address and port pair
>
> Nginx tout frais : nginx version: nginx/1.13.6
>
> Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a
> une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module
> 'custom' qu'on veut bien compiler, tester de debugger.
>
> Sinon, Haproxy semble le faire et on investira le temps nécessaire à
> l'apprentissage.

Ça marche sur le port 443 mais pas sur le 993, c’est ça que tu nous dis ?

Mes vhosts ce sont des directives serveurs comme ça :
    server {
    listen 443 ssl http2 ;
    listen [::]:443 ssl http2 ;
    ssl_certificate /path/to/.crt;
    ssl_certificate_key /path/to/.key;
 }

J’aurais tendance à dire que la même chose avec 993 et pas en HTTP ça
devrait fonctionner, mais j’ai jamais testé donc bon…

Vous voulez forcément mettre un reverse proxy devant ? Ça va pas si le
serveur SMTP/IMAP le gère directement ?

Parce que…

> Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
> clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
> OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
> du support en IMAP.
>
> Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

… heureusement que ça fonctionne, oui ! Je fais du SNI avec Dovecot pour
l’IMAP en effet, et avec OpenSMTPd pour le SMTP. Ça roule tout seul. :)
Mes utilisateurs (dont moi) ont des clients principalement K-9 Mail et
Thunderbird, mais il y a aussi du « Client Android par défaut » et du
Apple Mail.

Bruno



signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] SSL / SNI sur IMAP/POP/SMTP

2017-12-06 Par sujet Julien Escario 
Bonjour la liste,
Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions
IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.

L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour
imap.domaine1.com, imap.domaine2.com, etc ...
Le tout en présentant un certificat valide pour chaque domaine et ça, s'appelle
SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du protocole.

Je prends les devants : nous ne souhaitons pas avec un gros certificat qui
comprenne tous les vhosts.

SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les
browser modernes le supportent.

Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas vraiment
supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca
gère un conflit :
nginx: [emerg] duplicate "993" address and port pair

Nginx tout frais : nginx version: nginx/1.13.6

Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a
une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module
'custom' qu'on veut bien compiler, tester de debugger.

Sinon, Haproxy semble le faire et on investira le temps nécessaire à
l'apprentissage.

Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
du support en IMAP.

Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

Merci d'avance !
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Arkeia / cherche installers des clients Windows/Linux

2017-12-06 Par sujet Joël DEREFINKO 
Bonjour à tous,

Je suis à la recherche des installers des clients Arkeia (Windows/Linux).
Nous venons de découvrir (en même temps que notre revendeur...) que Western 
Digital a mis fin au support Arkeia et il n'est donc plus possible de les 
télécharger depuis leur site...
(WD avait racheté Arkeia en 2013).

Bref, si à tout hasard quelqu'un a ça sous le coude, pensez à moi...

Merci !
Joël
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Plantage régulier apache/php

2017-12-06 Par sujet Ronan Ducamp 
Salut,

Effectivement, je voulais dire ondemand dans mon précédent post ;-) (pour
les LAMP)  par contre ce mode n'est pas conseillé dans les archi
multi-front.

Ronan

Le 6 décembre 2017 à 10:19, Sébastien COUREAU  a écrit :

> Hello,
>
> Je m'incruste dans le sujet pour poser une question relative à vos config
> php-fpm...
>
> Pourquoi "dynamic" et pas "ondemand" ? Depuis la version php-5.3.9 c'est
> très bien supporté, et surtout super pratique pour trouver à moindre coût
> humain "le site (ie le user) qui fait ch..r"
>
> @++
>
> Le 2017-12-05 20:56, Ronan Ducamp a écrit :
>
> Salut,
>
> Je rejoins Thomas, php-fpm c'est nickel pour tous les besoins
> d'aujourd'hui et tu peux faire ça avec Apache si tu le souhaites :) ( ne
> pas oublier le mode event pour du Apache 2.4) en attendant ça fera que
> limiter les dégâts et t'empêcher de devoir reboot le serveur.
>
> Pour analyser active la page status de php-fpm. Tu pourras trouver les
> requêtes qui sont bloquées, puis comme indiquer précédemment
> strace/lsof/etc sont tes amis :)
>
> Pour la config de php-fpm documente toi sur les params y'a beaucoup de
> choses.. Mais si le serveur est un LAMP, je te conseille d'utiliser le mode
> Dynamic ;)
>
> Si besoin d'aide, MP !
>
> À plus la liste,
>
> Ronan Ducamp
>
> Le 5 déc. 2017 11:11, "Jean Weisbuch via FRsAG"  a
> écrit :
>
>> Sur les php-cgi on peux récupérer pas mal d'infos sur la requête
>> directement depuis proc, si ça peux aider : perl -pe 's/\0/\n/g'
>> /proc/$PID/environ
>>
>>
>> Sinon si tu n'es pas sensé avoir de php qui tournent aussi longtemps tu
>> peux simplement faire un cron qui kill les processus trop vieux.
>>
>> Le 05/12/2017 à 10:46, Sébastien 65 a écrit :
>>
>> Bonjour,
>>
>>
>>
>> Sur une machine Debian 3.2.81-2 x86_64 GNU/Linux avec Apache2/PHP j'ai
>> régulièrement un plantage que je m'explique pas...
>>
>>
>> J'ai de nombreux process PHP qui ne sont pas killé et qui me plombe
>> complétement la machine. En général il faut faire un shut de l'élec pour
>> relancer le bouzin !!
>>
>>
>>
>> 1024 18292  0.0  0.0 206056  2300 ?Sdéc.03   0:12
>> /usr/share/php5.6/bin/php-cgi
>> 1024 18384  0.0  0.0 206056  2300 ?Sdéc.03   0:24
>> /usr/share/php5.6/bin/php-cgi
>> 1024 18436  0.0  0.0 206056  2296 ?Sdéc.03   0:18
>> /usr/share/php5.6/bin/php-cgi
>> 1024 18615  0.0  0.0 206056  2300 ?Sdéc.03   0:12
>> /usr/share/php5.6/bin/php-cgi
>> 1024 18784  0.0  0.0 206056  2300 ?Sdéc.03   0:11
>> /usr/share/php5.6/bin/php-cgi
>> 1024 18819  0.0  0.0 205800  2300 ?Sdéc.03   0:12
>> /usr/share/php5.6/bin/php-cgi
>> 1024 18997  0.0  0.0 205800  2300 ?Sdéc.03   0:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19042  0.0  0.0 206056  2300 ?Sdéc.03   0:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19044  0.0  0.0 211580  2308 ?Sdéc.03   1:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19082  0.0  0.0 206056  2308 ?Sdéc.03   0:03
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19087  0.0  0.0 206060  2308 ?Sdéc.03   0:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19104  0.0  0.0 206056  2300 ?Sdéc.03   0:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19109  0.0  0.0 206196  2312 ?Sdéc.03   0:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19126  0.0  0.0 205824  2312 ?Sdéc.03   0:03
>> /usr/share/php5.6/bin/php-cgi
>> 1024 19838  0.0  0.0 205824  2304 ?Sdéc.04   0:01
>> /usr/share/php5.6/bin/php-cgi
>> 1030 1  0.0  0.0 198496  2316 ?Sdéc.04   0:02
>> /usr/share/php5.6/bin/php-cgi
>> 1024 20550  0.0  0.0 205544  2308 ?Sdéc.04   0:00
>> /usr/share/php5.6/bin/php-cgi
>> 1024 21020  0.0  0.0 205684  2304 ?Sdéc.04   0:03
>> /usr/share/php5.6/bin/php-cgi
>>
>>  total   used   free sharedbuffers cached
>> Mem:  7995739   7256  0115254
>> -/+ buffers/cache:369   7625
>> Swap:16353698  15655
>>
>> Quelqu'un a t'il une idée ?
>>
>> Merci :)
>>
>>
>>
>>
>> ___
>> Liste de diffusion du FRsAGhttp://www.frsag.org/
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
>


-- 
Ronan DUCAMP
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] AIX 5.1

2017-12-06 Par sujet Aladin FABIOUX 
Bonjour la liste,
Je suis à la recherche d'un AIX 5.1
Si vous avez un contact ou un vieil AIX qui traine, je suis preneur en mp
Merci ;-)

Aladin.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Plantage régulier apache/php

2017-12-06 Par sujet Sébastien COUREAU 
Hello, 

Je m'incruste dans le sujet pour poser une question relative à vos
config php-fpm... 

Pourquoi "dynamic" et pas "ondemand" ? Depuis la version php-5.3.9 c'est
très bien supporté, et surtout super pratique pour trouver à moindre
coût humain "le site (ie le user) qui fait ch..r"  

@++ 

Le 2017-12-05 20:56, Ronan Ducamp a écrit :

> Salut,  
> 
> Je rejoins Thomas, php-fpm c'est nickel pour tous les besoins d'aujourd'hui 
> et tu peux faire ça avec Apache si tu le souhaites :) ( ne pas oublier le 
> mode event pour du Apache 2.4) en attendant ça fera que limiter les dégâts et 
> t'empêcher de devoir reboot le serveur. 
> 
> Pour analyser active la page status de php-fpm. Tu pourras trouver les 
> requêtes qui sont bloquées, puis comme indiquer précédemment strace/lsof/etc 
> sont tes amis :) 
> 
> Pour la config de php-fpm documente toi sur les params y'a beaucoup de 
> choses.. Mais si le serveur est un LAMP, je te conseille d'utiliser le mode 
> Dynamic ;) 
> 
> Si besoin d'aide, MP ! 
> 
> À plus la liste, 
> 
> Ronan Ducamp 
> 
> Le 5 déc. 2017 11:11, "Jean Weisbuch via FRsAG"  a écrit :
> 
> Sur les php-cgi on peux récupérer pas mal d'infos sur la requête directement 
> depuis proc, si ça peux aider : perl -pe 's/\0/\n/g' /proc/$PID/environ 
> 
> Sinon si tu n'es pas sensé avoir de php qui tournent aussi longtemps tu peux 
> simplement faire un cron qui kill les processus trop vieux. 
> Le 05/12/2017 à 10:46, Sébastien 65 a écrit : 
> 
> Bonjour, 
> 
> Sur une machine Debian 3.2.81-2 x86_64 GNU/Linux avec Apache2/PHP j'ai 
> régulièrement un plantage que je m'explique pas... 
> 
> J'ai de nombreux process PHP qui ne sont pas killé et qui me plombe 
> complétement la machine. En général il faut faire un shut de l'élec pour 
> relancer le bouzin !! 
> 
> 1024 18292  0.0  0.0 206056  2300 ?Sdéc.03   0:12 
> /usr/share/php5.6/bin/php-cgi
> 1024 18384  0.0  0.0 206056  2300 ?Sdéc.03   0:24 
> /usr/share/php5.6/bin/php-cgi
> 1024 18436  0.0  0.0 206056  2296 ?Sdéc.03   0:18 
> /usr/share/php5.6/bin/php-cgi
> 1024 18615  0.0  0.0 206056  2300 ?Sdéc.03   0:12 
> /usr/share/php5.6/bin/php-cgi
> 1024 18784  0.0  0.0 206056  2300 ?Sdéc.03   0:11 
> /usr/share/php5.6/bin/php-cgi
> 1024 18819  0.0  0.0 205800  2300 ?Sdéc.03   0:12 
> /usr/share/php5.6/bin/php-cgi
> 1024 18997  0.0  0.0 205800  2300 ?Sdéc.03   0:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 19042  0.0  0.0 206056  2300 ?Sdéc.03   0:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 19044  0.0  0.0 211580  2308 ?Sdéc.03   1:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 19082  0.0  0.0 206056  2308 ?Sdéc.03   0:03 
> /usr/share/php5.6/bin/php-cgi
> 1024 19087  0.0  0.0 206060  2308 ?Sdéc.03   0:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 19104  0.0  0.0 206056  2300 ?Sdéc.03   0:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 19109  0.0  0.0 206196  2312 ?Sdéc.03   0:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 19126  0.0  0.0 205824  2312 ?Sdéc.03   0:03 
> /usr/share/php5.6/bin/php-cgi
> 1024 19838  0.0  0.0 205824  2304 ?Sdéc.04   0:01 
> /usr/share/php5.6/bin/php-cgi
> 1030 1  0.0  0.0 198496  2316 ?Sdéc.04   0:02 
> /usr/share/php5.6/bin/php-cgi
> 1024 20550  0.0  0.0 205544  2308 ?Sdéc.04   0:00 
> /usr/share/php5.6/bin/php-cgi
> 1024 21020  0.0  0.0 205684  2304 ?Sdéc.04   0:03 
> /usr/share/php5.6/bin/php-cgi 
> 
> total   used   free sharedbuffers cached
> Mem:  7995739   7256  0115254
> -/+ buffers/cache:369   7625
> Swap:16353698  15655 
> 
> Quelqu'un a t'il une idée ? 
> 
> Merci :) 
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/___
Liste de diffusion du FRsAG
http://www.frsag.org/